Roles vinculados al servicio Principal del servicio Habilitar el acceso de confianza Deshabilitar el acceso de confianza Activación de una cuenta de administrador delegado para Amazon Security Lake Desactivación de un administrador delegado para Amazon Security Lake

Amazon Security Lake y AWS Organizations

Amazon Security Lake centraliza los datos de seguridad de fuentes en la nube, en las instalaciones y personalizadas en un lago de datos almacenado en su cuenta. Al integrarse con Organizations, puede crear un lago de datos que recopile registros y eventos en todas sus cuentas. Para obtener más información, consulte Administración de varias cuentas con AWS Organizations en la Guía del usuario de Amazon Security Lake.

Utilice la siguiente información para ayudarle a integrar Amazon Security Lake con AWS Organizations.

Roles vinculados al servicio creados al habilitar la integración

El siguiente rol vinculado al servicio se crea automáticamente en la cuenta de administración de su organización al llamar a la API RegisterDataLakeDelegatedAdministrator. Este rol permite a Amazon Security Lake llevar a cabo operaciones compatibles dentro de las cuentas de su organización.

Puede eliminar o modificar este rol solo si deshabilita el acceso de confianza entre Amazon Security Lake y Organizations, o si elimina la cuenta miembro de la organización.

AWSServiceRoleForSecurityLake

Recomendación: Utilice la API RegisterDataLakeDelegatedAdministrato de Security Lake para permitir que Security Lake acceda a su organización y para registrar al administrador delegado de la organización

Si utiliza las API de Organizations para registrar un administrador delegado, es posible que los roles vinculados a servicios de Organizations no se creen correctamente. Para garantizar una funcionalidad completa, utilice las API de Security Lake.

Los principales de servicios utilizados por los roles vinculados a servicios

El rol vinculado al servicio de la sección anterior solo puede ser asumido por las entidades de servicio autorizadas por las relaciones de confianza definidas para el rol. Los roles vinculados a servicios utilizados por Amazon Security Lake otorgan acceso a las siguientes entidades principales de servicio:

securitylake.amazonaws.com

Activación del acceso de confianza con Amazon Security Lake

Cuando habilita el acceso de confianza con Security Lake, este puede reaccionar automáticamente a los cambios en la membresía de la organización. El administrador delegado puede habilitar la colección de registros de AWS desde los servicios compatibles en cualquier cuenta de la organización. Para obtener más información, consulte Rol vinculado al servicio para Amazon Security Lake en la guía del usuario de Amazon Security Lake.

Para obtener información acerca de los permisos necesarios para habilitar el acceso de confianza, consulte Permisos necesarios para habilitar el acceso de confianza.

Puede habilitar el acceso de confianza mediante las herramientas Organizations.

Puede habilitar el acceso de confianza mediante la consola AWS Organizations, ejecutando un comando AWS CLI, o llamando a una operación de API en uno de los SDK de AWS.

AWS Management Console

Para habilitar el acceso de confianza mediante la consola de Organizations

Inicie sesión en la consola de AWS Organizations. Debe iniciar sesión como usuario de IAM, asumir un rol de IAM; o iniciar sesión como usuario raíz (no se recomienda) en la cuenta de administración de la organización.
En el panel de navegación, elija Servicios.
Elija Amazon Security Lake en la lista de servicios.
Elija Habilitar acceso de confianza.
En el cuadro de diálogo Habilitar el acceso de confianza para Amazon Security Lake, escriba habilitar para confirmar y, a continuación, seleccione Habilitar el acceso de confianza.
Si es el administrador solamente de AWS Organizations, dígale al administrador de Amazon Security Lake que ahora pueden habilitar ese servicio usando su consola para trabajar con AWS Organizations.

AWS CLI, AWS API

Para habilitar el acceso de confianza mediante OrganizationsCLI/SDK

Puede utilizar los siguientes comandos de la AWS CLI o las operaciones de API para habilitar el acceso del servicio de confianza:

AWS CLI: enable-aws-service-access

Puede ejecutar el siguiente comando para habilitar Amazon Security Lake como servicio de confianza con Organizations.
```
$ aws organizations enable-aws-service-access \ 
    --service-principal securitylake.amazonaws.com
```
Este comando no genera ninguna salida si se realiza correctamente.
API de AWS: EnableAWSServiceAccess

Desactivación del acceso de confianza con Amazon Security Lake

Solo un administrador de la cuenta de administración de Organizations puede deshabilitar el acceso de confianza con Amazon Security Lake.

Solo puede deshabilitar el acceso de confianza mediante las herramientas de Organizations.

Puede deshabilitar el acceso de confianza mediante la consola AWS Organizations, la ejecución de una AWS CLI de Organizations, o llamando a una operación de API de Organizations en uno de los SDK de AWS.

AWS Management Console

Para deshabilitar el acceso de confianza mediante la consola de Organizations

Inicie sesión en la consola de AWS Organizations. Debe iniciar sesión como usuario de IAM, asumir un rol de IAM; o iniciar sesión como usuario raíz (no se recomienda) en la cuenta de administración de la organización.
En el panel de navegación, elija Servicios.
Elija Amazon Security Lake en la lista de servicios.
Seleccione Deshabilitar el acceso de confianza.
En el cuadro de diálogo Deshabilitar el acceso de confianza para Amazon Security Lake, escriba deshabilitar para confirmar y, a continuación, seleccione Deshabilitar el acceso de confianza.
Si es el administrador solamente de AWS Organizations, dígale al administrador de Amazon Security Lake que ahora puede desactivar ese servicio usando su consola o herramientas para trabajar con AWS Organizations.

AWS CLI, AWS API

Para deshabilitar el acceso de confianza mediante Organizations CLI/SDK

Puede utilizar los siguientes comandos de la AWS CLI o las operaciones de API para deshabilitar el acceso del servicio de confianza:

AWS CLI: disable-aws-service-access

Puede ejecutar el siguiente comando para desactivar Amazon Security Lake como servicio de confianza con Organizations.
```
$ aws organizations disable-aws-service-access \
    --service-principal securitylake.amazonaws.com
```
Este comando no genera ninguna salida si se realiza correctamente.
API de AWS: DisableAWSServiceAccess

Activación de una cuenta de administrador delegado para Amazon Security Lake

El administrador delegado de Amazon Security Lake agrega otras cuentas de la organización como cuentas miembro. El administrador delegado puede habilitar Amazon Security Lake y configurar los ajustes de Amazon Security Lake para las cuentas miembro. El administrador delegado puede recopilar registros en toda la organización en todas las regiones de AWS en las que se haya habilitado Amazon Security Lake (independientemente del punto de conexión regional que utilice actualmente).

También puede configurar el administrador delegado para que añada automáticamente nuevas cuentas en la organización como miembros. El administrador delegado de Amazon Security Lake tiene acceso a los registros y eventos de las cuentas miembro asociadas. En consecuencia, puede configurar Amazon Security Lake para recopilar datos propiedad de las cuentas miembro asociadas. También puede conceder permiso a los suscriptores para que consuman los datos que pertenecen a las cuentas asociadas de los miembros.

Para obtener más información, consulte Administración de varias cuentas con AWS Organizations en la Guía del usuario de Amazon Security Lake.

Permisos mínimos

Solo un administrador en la cuenta de administración de Organizations puede configurar una cuenta miembro como administrador delegado para Amazon Security Lake en la organización.

Puede especificar una cuenta de administrador delegado mediante la consola de Amazon Security Lake, la operación de la API CreateDatalakeDelegatedAdmin de Amazon Security Lake o el comando de la CLI create-datalake-delegated-admin. También puede utilizar la operación RegisterDelegatedAdministrator CLI o SDK de Organizations. Para obtener instrucciones sobre cómo habilitar una cuenta de administrador delegado para Amazon Security Lake, consulte Designating the delegated Security Lake administrator and adding member accounts en la Guía del usuario de Amazon Security Lake.

Desactivación de un administrador delegado para Amazon Security Lake

Solo un administrador en la cuenta de administración de Organizations o en la cuenta de administrador delegado de Amazon Security Lake puede eliminar una cuenta de administrador delegado de la organización.

Puede eliminar una cuenta de administrador delegado utilizando la operación de la API DeregisterDataLakeDelegatedAdministrator de Amazon Security Lake, el comando de la CLI deregister-data-lake-delegated-administrator o la operación del SDK o la CLI DeregisterDelegatedAdministrator de Organizations. Para eliminar un administrador delegado mediante Amazon Security Lake, consulte Removing the Amazon Security Lake delegated administrator en la Guía del usuario de Amazon Security Lake.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Amazon S3 Storage Lens

AWS Service Catalog